韓國發布《外國企業個人資料保護法指南》

韓國個人資料保護委員會（Personal Information Protection Commission, PIPC）發布了《適用於外國企業的個人資料保護法指南》（Guidelines on Applying the Personal Information Protection Act to Foreign Business Operators, 以下簡稱《指南》），旨在幫助外國企業遵守韓國個人資料保護法（Personal Information Protection Act, PIPA）的要求，同時鼓勵企業採取強有力的資料保護措施，保障韓國資料主體的個人資料安全。

《指南》確定了三種情況下外國企業可能需要遵守PIPA的法律要求：

• 外國企業向韓國資料主體提供商品或服務。
• 外國企業進行的個人資料處理活動影響到韓國資料主體。
• 外國企業在韓國境內設有業務場所。

在第一種情況下，PIPA適用於向韓國資料主體提供商品或服務的外國企業。評估PIPA適用性時，將考慮使用的語言、接受的貨幣和提供服務的具體形式和方法等因素。

第二種情況是，即使外國企業不直接向韓國資料主體提供商品或服務，但其資料處理對韓國資料主體有直接和顯著影響時，也適用PIPA。例如，若外國企業通過非專門針對韓國人的服務收集韓國資料主體的個人資料並在其網站上公開，此將被認為對韓國資料主體有重大影響，需要遵守PIPA。

最後，如果外國企業在韓國境內設有處理韓國資料主體個人資料的業務場所，也適用PIPA。例如，如果全球服務提供商在其隱私政策中明確指定韓國子公司為韓國資料主體的資料控制者，該韓國子公司將受到PIPA的管轄。

《指南》同時強調外國企業在2023年PIPA重大修訂後需要特別遵守的法律義務，包括：

• 獲得14歲以下兒童監護人的同意（第22-2條）
• 遵守跨境資料傳輸的程序（第28-8條）
• 建立並公開隱私政策（第30條）
• 及時通知和報告個人資料外洩（第34條）
• 維護資料主體的權利，包括存取、修改、刪除和請求停止傳輸等（第35-38條）

《指南》進一步強調，處理韓國資料主體個人資料的外國企業必須在書面上明確揭露相關處理事項，包括所涉及的國家和實體名稱。此外，外國企業應提高其隱私政策的可讀性，包含PIPA要求的所有相關要素。

最後，《指南》還明確，如果外國企業有義務指定“國內代理”，建議其指定在韓國設立的公司為國內代表。

資料來源：PIPC, Korea